Ruijie(config)#ip access-list standard 1 //创建访问列表1

Ruijie(config-ext-nacl)# 10 permit ip 192.168.1.0 0.0.0.255 // 创建条目10允许ip为 192.168.1.0/24的网段通过

Ruijie(config-ext-nacl)# 20 deny ip 192.168.2.0 0.0.0.255 //创建条目20拒绝ip为192.168.2.0/24网段通过

2.1.访问控制列表常用类型

IP标准ACL

只能匹配IP数据包头中的源IP地址
配置ACL的时候使用"standard"关键字

IP扩展ACL

可以匹配源IP/目的IP，源端口，目的端口，协议（TCP/IP）,标志代码等
配置ACL的时候使用“extended”关键字

其他的ACL类型

2.2.访问控制列表的命名

数字命名

默认的命令，标准ACL常用数字命名为 1-99，1300-1999

扩展ACL常用数字命名为100-199,2000-2699

自定义名称

定义更具代表意义的名称

如：禁止VLAN10内的PC访问VLAN30，可以定义DENY_VLAN10_TO_VALN30

Ruijie(config)#ip access-list standard ? 【？可以查看参数】

<1-99> IP standard acl

<1300-1999> IP standard acl (expanded range)

WORD Acl name

2.3.实验配置

实验要求：

1.使用标准实现只允许R4访问R5

2.配置只拒绝R4到R5的 telnet

一，配置全网互通【使用OSPF】

R1:

interface GigabitEthernet 0/0 //进入g0/0口
no switchport //开启三层功能【不开启无法配置IP地址】
ip address 14.1.1.1 255.255.255.0 //配置ip地址为14.1.1.1 掩码为255.255.255.0

interface GigabitEthernet 0/1 //进入接口G0/1
no switchport //开启三层功能
ip address 12.1.1.1 255.255.255.0 //配置ip地址

router ospf 1 //启用OSPF,1为进程号用来区分本地的不同OSPF进程，进程号只是本地有意义，不同不影响邻居建立
network 12.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
network 14.1.1.0 0.0.0.255 area 0 //宣告网段到area 0

R2：

interface GigabitEthernet 0/0 //进入g0/0口
no switchport //开启三层功能
ip address 12.1.1.2 255.255.255.0 //配置ip地址

interface GigabitEthernet 0/1 //进入接口G0/1
no switchport //开启三层功能
ip address 23.1.1.2 255.255.255.0 //配置ip地址

router ospf 1 //启用OSPF
network 12.1.1.0 0.0.0.255 area 0 //宣告网段到area 0
network 23.1.1.0 0.0.0.255 area 0 //宣告网段到area 0

R3:

interface GigabitEthernet 0/0  //进入g0/0口
no switchport  //开启三层功能
ip address 35.1.1.3 255.255.255.0  //配置ip地址

interface GigabitEthernet 0/1
no switchport  //开启三层功能
ip address 23.1.1.3 255.255.255.0  //配置ip地址

router ospf 1   //启用OSPF
network 23.1.1.0 0.0.0.255 area 0  //宣告网段到area 0
network 35.1.1.0 0.0.0.255 area 0  //宣告网段到area 0

R4:

interface GigabitEthernet 0/0 //进入g0/0口
no switchport //开启三层功能
ip address 14.1.1.4 255.255.255.0 //配置ip地址

router ospf 1 //启用OSPF
network 14.1.1.0 0.0.0.255 area 0 //宣告网段到area 0

R5:

interface GigabitEthernet 0/0 //调用在接口的出方向
no switchport  //开启三层功能
ip address 35.1.1.5 255.255.255.0  //配置ip地址

router ospf 1   //启用OSPF
network 35.1.1.0 0.0.0.255 area 0 //宣告网段到area 0

查看效果：

二，实现只允许R4访问R5

1.确定匹配位置：标准ACL应该离目的近，因此配置在R3的G0/0接口的出方向

2.只允许写permit语句即可

R3(config)#ip access-list standard 1 //创建标准访问列表

R3(config-std-nacl)#permit 14.1.1.0 0.0.0.255 //允许源地址为14.1.1.0的地址通过

查看配置效果

下一步调用在接口下测试配置效果：

R3(config)#interface gigabitEthernet 0/0 // 进入g0/0接口
R3(config-if-GigabitEthernet 0/0)#ip access-group 1 out //将访问组1调用在接口的出方向

测试效果：

三，实现拒绝 R4访问R5的Telnet

1.确定匹配位置：扩展ACL应该离源近，因此配置在R1的G0/0接口的入方向

2.只拒绝写deny语句即可

先配置 R5的Telnet功能并删除第二步ACL

R3(config)#interface gigabitEthernet 0/0 //进入R3的G0/0接口
R3(config-if-GigabitEthernet 0/0)#no ip access-group 1 out //删除访问组1调用在出方向的命令

R5(config)#line vty 0 4
R5(config-line)#password 12

R5(config-line)#login

R1(config)#ip access-list extended 100 //创建扩展访问列表
R1(config-ext-nacl)#deny tcp host 14.1.1.4 host 35.1.1.5 eq 23 //拒绝TCP协议从14.1.1.4到35.1.1.5的协议23，即tcp的Telnet协议
R1(config-ext-nacl)#permit ip any any//默认拒绝所有，因此需要加一条允许所有的命令

R1(config)#interface gigabitEthernet 0/0 //进入R1的接口G0/0

R1(config-if-GigabitEthernet 0/0)#ip access-group 100 in //将访问组100调用在R1的入接口

验证效果：

有问题大家可以留言讨论，关注IT其他方面的小伙伴们可以参考尚文网络其他老师文章，也可以微信搜索尚文网络公众号，有详细资讯发布，认准尚文网络成为一名优秀的IT人。

声明：本文内容由网友自发贡献，转载请注明出处：【wpsshop博客】